La Agencia Española de Protección de Datos ha publicado una guía sobre la adaptación del uso de cookies para cumplir con las nuevas Directrices europeas de mayo de 2020.
- Las Directrices 5/2020 desarrollan una serie de novedades en política de aceptación de cookies. Así, establecen nuevas obligaciones en la obtención del consentimiento del usuario por parte de las empresas.
- La información al usuario, clara y accesible, o cómo debe mostrarse esta para cumplir el requisito del consentimiento informado. Estos son algunos de los puntos destacables de la guía, que te resumimos en este post.
Como sabes, las cookies son fragmentos de datos de un sitio web que se almacenan en el dispositivo con el que el usuario (ya sea persona física o jurídica) accede a dicha página. Todas las empresas familiarizadas con el concepto o que funcionen con página web conocen bien el objetivo: ofrecer contenidos afines a los intereses del internauta.
Sin embargo, tras la revisión del texto legal en política de consentimiento realizada por el Comité Europeo de Protección de Datos (CEPD), se ha desarrollado una nueva normativa que todas las empresas deben cumplir: las Directrices 05/2020. Por ello, y para armonizar el uso de las cookies con lo que dicta Europa, la AEPD ha actualizado una guía práctica sobre el consentimiento.
Estos son los cambios en el uso de las cookies que hay que implementar antes del 31 de octubre, para adaptarse a los nuevos criterios establecidos por la CEPD.
¡Comparte! Las empresas tienen tres meses para adaptarse a las Directrices sobre consentimiento, modificadas en mayo de 2020 por Europa.
Normativa uso de las cookies
– Descarga tu copia gratuita
de la infografía
– Desde el 31 de octubre, las
empresas tendrán 3 meses para adaptarse.
Ley de cookies: ¿a quién afecta?
El artículo 22 de la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI) deja claro que “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”. Por lo tanto, serán los internautas quienes acepten las cookies cuando accedan a la web de cualquier empresa.
Además, los usuarios que “consientan” podrán hacerlo desde cualquier dispositivo electrónico desde el que naveguen, ya sea con PC, tablet, smartphone, etc.
Objetivo de la nueva guía AEPD
Esta guía pretende orientar a las empresas sobre cómo utilizar las cookies y tecnologías similares (como local shared objects o flash cookies8, web beacons o bugs9, etc.) para almacenar y recuperar datos de un dispositivo electrónico de los usuarios en consonancia con las Directrices 5/2020. Además, estas normas también son de aplicación al empleo de técnicas de fingerprinting (técnicas de toma de la huella digital del dispositivo).
Si el consentimiento solicitado no se ajusta a la normativa, las empresas se enfrentan a multas de hasta 600.000€ en caso de infracciones muy graves.
Novedades en la adaptación del uso de las cookies
La nueva adaptación del uso de las cookies afecta fundamentalmente a tres aspectos: la validez de la opción “seguir navegando”, la forma de prestar el consentimiento y cómo se muestra la información.
1. La opción “seguir navegando”
El CEPD ha establecido que la opción “seguir navegando” no es una forma válida de prestar el consentimiento, ya que resulta difícil determinar a través de esta modalidad que el consentimiento es inequívoco. Por lo tanto, para que sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada.
Asimismo, al eliminarse la fórmula “seguir navegando”, también se modifica el apartado relativo a la información por capas, donde deben incluirse avisos de privacidad por niveles. Así, el usuario puede acceder fácilmente a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, así como completar la información esencial con una segunda página con información más detallada sobre las cookies. De esta forma, se evita la fatiga informativa, un perjuicio habitual que sufren los usuarios debido a las políticas de cookies que muchas empresas utilizan.
2. Los muros de cookies
Las webs que bloquean el acceso a los usuarios que no aceptan sus cookies y no ofrecen una alternativa a su consentimiento infringen la ley. Estos bloqueos son conocidos como “muros de cookies”.
No obstante, hay supuestos en los que la no aceptación de las cookies puede impedir el acceso a la web, pero deben darse las siguientes condiciones:
- Siempre debe informarse al usuario de esta situación.
- La empresa ha de ofrecer una alternativa de acceso al servicio sin necesidad de aceptar las cookies.
- La alternativa a otro servicio no será válida si lo ofrece una entidad ajena al editor.
3. Cómo se muestra la información
Las empresas deberán mostrar al usuario, además de la definición y función genérica de las cookies, la siguiente información:
- Qué tipo de cookies se utilizan y su finalidad, ya sean tratadas por nosotros o por terceros.
Pueden ser:
- De análisis: aquellas que, siendo tratadas por la empresa o por terceros, miden el uso que hacen los usuarios del servicio. Para ello, se analiza su navegación a fin de mejorar la oferta y visionado de productos o servicios que le ofrecen.
- Publicitarias comportamentales: Como su propio nombre indica, analizan comportamientos de navegación, para que se le muestre al usuario publicidad relacionada con su perfil de navegación.
- Quién utiliza las cookies. Deberá identificarse quien trata la información, ya sea:
- El propio editor.
- Terceros con lo que el editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies.
Reglamento ePrivacy, en “stand by”
Además del RGPD, en vigor desde mayo de 2018, la forma en la que los sitios web pueden instalar cookies en los navegadores se regula a través de la ePrivacy de 2002, una ley con un desarrollo insuficiente y poco claro en materia de comunicaciones electrónicas.
Más conocida como Ley de Cookies, la directiva europea ePrivacy, cuyo último borrador fue presentado en 2017, preveía la entrada en vigor a lo largo de 2020, pero a día de hoy sigue pendiente de aprobación en el Parlamento Europeo.
¿Cómo afecta a las empresas?
El nuevo Reglamento supondrá un paso más para potenciar la economía digital y la confianza de los usuarios en los servicios digitales, y todas aquellas empresas que tengan negocios online tendrán que cumplirlo.
Objetivo
Internet no conoce fronteras, por lo que se pretende que las empresas no tengan que enfrentarse a limitaciones internacionales en Internet, al menos, a nivel europeo.
Sectores involucrados
Las propuestas se dirigen fundamentalmente a negocios del sector online, entre los que se incluyen los proveedores de software de aplicaciones como Skype, Facebook o WhatsApp, hasta ahora excluidos de la legislación vigente.
¿Qué proponen las autoridades europeas con la Regulación ePrivacy en relación a las cookies?
Uno de los objetivos de la inminente reforma en el Reglamento ePrivacy es simplificar las normas de las cookies, ya que las actuales saturan al usuario al recibir excesivas solicitudes de autorización cuando accede a cualquier web.
Un ejemplo lo encontramos en las llamadas “cookies invasivas”, que son enviadas al dispositivo electrónico por entidades ajenas a la página que se está visitando. Las cookies, en este caso, se usan para rastrear a los usuarios por internet y recopilar información sobre ellos. Una vez recopilada, comienza el contraataque, por ejemplo, mostrando publicidad personalizada de los anunciantes, una práctica que ha generado gran preocupación porque invade la privacidad de las personas.
¿Cómo deben proceder los gestores de las webs para evitar esta “invasión”?
Cuando las propuestas europeas se materialicen en leyes, las empresas deberán dejar de aplicar el opt-out (método por el que las cookies se instalan por defecto, donde los usuarios solo pueden rechazar el almacenamiento con posterioridad al acceso), para adoptar el opt-in (con el que las cookies solo se instalan cuando el usuario lo consiente expresamente).
¿En qué fallan las empresas españolas en el cumplimiento de la Ley de Cookies?
La mayoría de las webs españolas cometen errores muy comunes que deben detectarse a tiempo para evitar sanciones. Para identificar estas deficiencias, existen servicios de auditorías que sirven de gran ayuda a las empresas y que deben contratarse antes de implantar cualquier medida relacionada con la política de cookies.
Instalar cookies sin consentimiento del usuario es una de las conductas empresariales más extendidas.
A continuación, te facilitamos un listado de los errores más habituales que cometen las empresas a la hora de aplicar la ley de cookies.
- Imposibilitando el acceso al usuario a la página web por no prestar consentimiento.
- Dando información insuficiente sobre las finalidades en el tratamiento de los datos recabados.
- En los procedimientos previstos para rechazar la instalación total o parcial de las cookies en los dispositivos de los usuarios.
- Dificultando al usuario la revocación del consentimiento.
- No aclarando si las cookies utilizadas son propias o de terceros.
- Proporcionando información compleja al usuario, cuando ha de ser clara y concisa.
Las normas sobre la privacidad en el entorno online que se están poniendo en marcha pretenden facilitar al usuario el rechazo de las cookies “prescindibles” y permitir su regulación en la configuración del navegador, de forma que solo se utilicen si los usuarios las aceptan expresamente.
Sin embargo, nos encontramos ante un escenario extraordinariamente dinámico en cuanto a cómo se entiende la privacidad de unos internautas cada vez mejor informados y más protegidos. Esta situación nos lleva a plantearnos si, finalmente, habrá un mundo sin cookies de terceros o si será el propio usuario quien, en un futuro no muy lejano, gestione la publicidad e información que recibe en sus dispositivos electrónicos.
Normativa uso de las cookies
– Descarga tu copia gratuita
de la infografía
– Desde el 31 de octubre, las
empresas tendrán 3 meses para adaptarse.